home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / UGPRG.ZIP / MISC / ANTI-D.DOC next >
Encoding:
Text File  |  1996-07-18  |  17.4 KB  |  434 lines
  1.  
  2.                             Anti Debugging Tricks
  3.  
  4.                                      By:
  5.  
  6.                                   Inbar Raz
  7.  
  8.                  Assistance by Eden Shochat and Yossi Gottlieb
  9.  
  10.                                Release number 5
  11.  
  12.   Today's anti debugging tricks devide into two categories:
  13.  
  14.   1. Preventive actions;
  15.   2. Self-modifying code.
  16.  
  17.   Most debugging tricks, as for today, are used within viruses, in order to
  18. avoid dis-assembly of the virus, as it will be exampled later in this file.
  19. Another large portion of anti debugging tricks is found with software
  20. protection programs, that use them in order to make the cracking of the
  21. protection harder.
  22.  
  23. 1. Preventive actions:
  24. ----------------------
  25.  
  26.   Preventive actions are, basically, actions that the program takes in order
  27. to make the user unable to dis-assemble the code or trace it while running.
  28.  
  29. 1.1. Interrupt disable:
  30.  
  31.        Interrupt disable is probably the most common form of anti-debugging
  32.      tricks. It can be done in several ways:
  33.  
  34.    1.1.1. Hardware masking of interrupt:
  35.  
  36.             In order to avoid tracing of a code, one usually disables the
  37.           interrupt via the 8259 Interrupt Controller, addressed by read/write
  38.           actions to port 21h. The 8259 Interrupt Controller controls the IRQ
  39.           lines. This means that any IRQ between 0 and 7 may be disabled by
  40.           this action. Bit 0 is IRQ0, bit 1 is IRQ1 etc. Since IRQ1 is the
  41.           keyboard interrupt, you may disable the keyboard without the
  42.           debugger being able to bypass it.
  43.  
  44.           Example:
  45.  
  46.           CS:0100 E421           IN     AL,21
  47.           CS:0102 0C02           OR     AL,02
  48.           CS:0104 E621           OUT    21,AL
  49.  
  50.             Just as a side notice, the keyboard may be also disabled by
  51.           commanding the Programmable Peripheral Interface (PPI), port 61h.
  52.  
  53.           Example:
  54.  
  55.           CS:0100 E461           IN     AL,61
  56.           CS:0102 0C80           OR     AL,80
  57.           CS:0104 E661           OUT    61,AL
  58.  
  59.    1.1.2. Software masking of interrupt:
  60.  
  61.             This is quite an easy form of an anti-debugging trick. All you
  62.           have to do is simply replace the vectors of interrupts debuggers
  63.           use, or any other interrupt you will not be using or expecting to
  64.           occur. Do not forget to restore the original vectors when you are
  65.           finished. It is adviseable to use manual change of vector, as shown
  66.           below, rather than to change it using interrupt 21h service 25h,
  67.           because any debugger that has gained control of interrupt 21h may
  68.           replace your vector with the debugger's. The example shows an
  69.           interception of interrupt 03h - the breakpoint interrupt.
  70.  
  71.           Example:
  72.  
  73.           CS:0100 EB04           JMP    0106
  74.           CS:0102 0000           ADD    [BX+SI],AL
  75.           CS:0104 0000           ADD    [BX+SI],AL
  76.           CS:0106 31C0           XOR    AX,AX
  77.           CS:0108 8EC0           MOV    ES,AX
  78.           CS:010A 268B1E0C00     MOV    BX,ES:[000C]
  79.           CS:010F 891E0201       MOV    [0102],BX
  80.           CS:0113 268B1E0E00     MOV    BX,ES:[000E]
  81.           CS:0118 891E0401       MOV    [0104],BX
  82.           CS:011C 26C7064C000000 MOV    Word Ptr ES:[000C],0000
  83.           CS:0123 26C7064E000000 MOV    Word Ptr ES:[000E],0000
  84.  
  85.    1.1.3. Vector manipulation
  86.  
  87.              This method involves manipulations of the interrupt vectors,
  88.           mainly for proper activation of the algorithm. Such action, as
  89.           exampled, may be used to decrypt a code (see also 2.1), using data
  90.           stored ON the vectors. Ofcourse, during normal operation of the
  91.           program, vectors 01h and 03h are not used, so unless you are trying
  92.           to debug such a program, it works fine.
  93.  
  94.           Example:
  95.  
  96.           CS:0100 31C0           XOR    AX,AX
  97.           CS:0102 8ED0           MOV    SS,AX
  98.           CS:0104 BC0E00         MOV    SP,000E
  99.           CS:0107 2E8B0E3412     MOV    CX,CS:[1234]
  100.           CS:010C 50             PUSH   AX
  101.           CS:010D 31C8           XOR    AX,CX
  102.           CS:010F 21C5           AND    BP,AX
  103.           CS:0111 58             POP    AX
  104.           CS:0112 E2F8           LOOP   010C
  105.  
  106.    1.1.4. Interrupt replacement
  107.  
  108.             This is a really nasty trick, and it should be used ONLY if you
  109.           are ABSOLUTELY sure that your programs needs no more debugging. What
  110.           you should do is copy the vectors of some interrupts you will be
  111.           using, say 16h and 21h, onto the vectors of interrupt 01h and 03h,
  112.           that do not occur during normal operation of the program. If the
  113.           user wants to debug the program, he would have to search for every
  114.           occurance of INT 01, and replace it with the appropriate INT
  115.           instruction. This trick is very effective if used together with the
  116.           fact that the INT 3 intruction has a ONE BYTE opcode - 0CCh, which
  117.           can not be changed to any other interrupt.
  118.  
  119.           Example:
  120.  
  121.           CS:0100 FA             CLI
  122.           CS:0101 31C0           XOR    AX,AX
  123.           CS:0103 8EC0           MOV    ES,AX
  124.           CS:0105 26A18400       MOV    AX,ES:[0084]
  125.           CS:0109 26A30400       MOV    ES:[0004],AX
  126.           CS:010D 26A18600       MOV    AX,ES:[0086]
  127.           CS:0111 26A30600       MOV    ES:[0006],AX
  128.           CS:0115 B44C           MOV    AH,4C
  129.           CS:0117 CD01           INT    01                
  130.  
  131. 1.2. Time watch:
  132.  
  133.        This may be a less common method, but it is usefull against debuggers
  134.      that disable all interrupts except for the time that the program is
  135.      executed, such as Borland's Turbo Debugger. This method simply retains
  136.      the value of the clock counter, updated by interrupt 08h, and waits in an
  137.      infinite loop until the value changes. Another example is when you mask
  138.      the timer interrupt by ORing the value INed from port 21h with 01h and
  139.      then OUTing it back, thus disabling the IRQ0 - Timer interrupt. Note that
  140.      this method is usefull only against RUN actions, not TRACE/PROCEED ones.
  141.  
  142.      Example:
  143.  
  144.      CS:0100 2BC0           SUB    AX,AX
  145.      CS:0102 FB             STI
  146.      CS:0103 8ED8           MOV    DS,AX
  147.      CS:0105 8A266C04       MOV    AH,[046C]
  148.      CS:0109 A06C04         MOV    AL,[046C]
  149.      CS:010C 3AC4           CMP    AL,AH
  150.      CS:010E 74F9           JZ     0109
  151.  
  152. 1.3. Fool the debugger:
  153.  
  154.        This is a very nice technique, that works especially and only on those
  155.      who use Turbo Debugger or its kind. What you should do is init a jump to
  156.      a middle of an instruction, whereas the real address actually contains
  157.      another opcode. If you work with a normal step debugger such as Debug or
  158.      SymDeb, it won't work since the debugger jumps to the exact address of
  159.      the jump, and not to the beginning of an instruction at the closest
  160.      address, like Turbo Debugger.
  161.  
  162.      Example:
  163.  
  164.      CS:0100 E421           IN     AL,21
  165.      CS:0102 B0FF           MOV    AL,FF
  166.      CS:0104 EB02           JMP    0108
  167.      CS:0106 C606E62100     MOV    Byte Ptr [21E6],00
  168.      CS:010B CD20           INT    20
  169.  
  170.      Watch this:
  171.  
  172.      CS:0108 E621           OUT    21,AL
  173.  
  174.      Notice:
  175.  
  176.        This trick does NOT effect the run of the program in ANY debugger. Its
  177.      only use is to try to deceive the user into thinking another opcode is
  178.      used, while another is actually run.
  179.  
  180. 1.4. Check CPU Flags:
  181.  
  182.        This is a nice trick, effective against almost any real mode debugger.
  183.      What you should do is simply set the trace flag off somewhere in your
  184.      program, and check for it later. If it was turned on, a debugger runs in
  185.      the background...
  186.  
  187.      Example:
  188.  
  189.      CS:0100 9C             PUSHF
  190.      CS:0101 58             POP    AX
  191.      CS:0102 25FFFE         AND    AX,FEFF
  192.      CS:0105 50             PUSH   AX
  193.      CS:0106 9D             POPF
  194.  
  195.      In the middle of the program:
  196.  
  197.      CS:1523 9C             PUSHF
  198.      CS:1524 58             POP    AX
  199.      CS:1525 250001         AND    AX,0100
  200.      CS:1528 7402           JZ     152C
  201.      CS:152A CD20           INT    20
  202.  
  203. 1.5. Cause debugger to stop execution:
  204.  
  205.        This is a technique that causes a debugger to stop the execution of a
  206.      certain program. What you need to do is to put some INT 3 instructions
  207.      over the code, at random places, and any debugger trying to run will stop
  208.      there. It is best if used within a loop, as it is run several times.
  209.  
  210.      Example:
  211.  
  212.      CS:0100 B96402         MOV    CX,0264
  213.      CS:0103 BE1001         MOV    SI,0110
  214.      CS:0106 AC             LODSB
  215.      CS:0107 CC             INT    3
  216.      CS:0108 98             CBW
  217.      CS:0109 01C3           ADD    BX,AX
  218.      CS:010B E2F9           LOOP   0106
  219.  
  220. 1.6. Halt computer using stack:
  221.  
  222.        This trick is based on the fact that debuggers don't usually use a
  223.      stack space of their own, but rather the user program's stack space. By
  224.      setting the stack to a location in the middle of a code that does NOT use
  225.      the stack itself, any debugger that will try to trace the code will
  226.      overwrite some of the code by its own stack (mainly interrupt return
  227.      addresses). Again, CLI and STI are in order, and are not shown for the
  228.      purpose of the example only. They must be included, or you risk hanging
  229.      your computer wether a debugger is installed or not.
  230.  
  231.      Example:
  232.  
  233.      CS:0100 8CD0           MOV    AX,SS
  234.      CS:0102 89E3           MOV    BX,SP
  235.      CS:0104 0E             PUSH   CS
  236.      CS:0105 17             POP    SS
  237.      CS:0106 BC0B01         MOV    SP,010B
  238.      CS:0109 90             NOP
  239.      CS:010A 90             NOP
  240.      CS:010B EB02           JMP    010F
  241.      CS:010D 90             NOP
  242.      CS:010E 90             NOP
  243.      CS:010F 89DC           MOV    SP,BX
  244.      CS:0111 8ED0           MOV    SS,AX
  245.  
  246. 1.7. Halt TD386 V8086 mode:
  247.  
  248.        This is a nice way to fool Turbo Debugger's V8086 module (TD386). It is
  249.      based on the fact that TD386 does not use INT 00h to detect division by
  250.      zero (or register overrun after division, which is treated by the
  251.      processor in the same way as in the case of division by zero). When TD386
  252.      detects a division fault, it aborts, reporting about the faulty division.
  253.      In real mode (even under a regular debugger), a faulty DIV instruction
  254.      will cause INT 00h to be called. Therefore, pointing INT 00h to the next
  255.      instruction, will recover from the faulty DIV.
  256.  
  257.      Note: It is very important to restore INT 00h's vector. Otherwise, the
  258.      next call to INT 00h will cause the machine to hang.
  259.  
  260.      Example:
  261.  
  262.      CS:0100 31C0          XOR     AX,AX
  263.      CS:0102 8ED8          MOV     DS,AX
  264.      CS:0104 C70600001201  MOV     WORD PTR [0000],0112
  265.      CS:010A 8C0E0200      MOV     [0002],CS
  266.      CS:010E B400          MOV     AH,00
  267.      CS:0110 F6F4          DIV     AH
  268.      CS:0112 B8004C        MOV     AX,4C00
  269.      CS:0115 CD21          INT     21
  270.  
  271. 1.8. Halt any V8086 process:
  272.  
  273.        Another way of messing TD386 is fooling it into an exception.
  274.      Unfortunately, this exception will also be generated under any other
  275.      program, running at V8086 mode. The exception is exception #13, and its
  276.      issued interrupt is INT 0Dh - 13d. The idea is very similar to the
  277.      divide by zero trick: Causing an exception, when the exception interrupt
  278.      points to somewhere in the program's code. It will always work when the
  279.      machine is running in real mode, but never under the V8086 mode.
  280.  
  281.      Note: It is very important to restore the original interrupt vectors.
  282.      Otherwise, the next exception will hang the machine.
  283.  
  284.      Example:
  285.  
  286.      CS:0100 31C0          XOR     AX,AX
  287.      CS:0102 8ED8          MOV     DS,AX
  288.      CS:0104 C70634001301  MOV     WORD PTR [0034],0113
  289.      CS:010A 8C0E3600      MOV     [0036],CS
  290.      CS:010E 833EFFFF00    CMP     WORD PTR [FFFF],+00
  291.      CS:0113 B8004C        MOV     AX,4C00
  292.      CS:0116 CD21          INT     21
  293.  
  294. 2. Self-modifying code:
  295. -----------------------
  296.  
  297. 2.1. Encryptive/decryptive algorithm:
  298.  
  299.        The first category is simply a code, that has been encrypted, and has
  300.      been added a decryption routine. The trick here is that when a debugger
  301.      sets up a breakpoint, it simply places the opcode CCh (INT 03h) in the
  302.      desired address, and once that interrupt is executed, the debugger
  303.      regains control of things. If you try to set a breakpoint AFTER the
  304.      decryption algorithm, what is usually needed, you will end up putting an
  305.      opcode CCh in a place where decryptive actions are taken, therefore losing
  306.      your original CCh in favour of whatever the decryption algorithm produces.
  307.      The following example was extracted from the Haifa virus. If you try to
  308.      set a breakpoint at address CS:0110, you will never reach that address,
  309.      since there is no way to know what will result from the change. Note that
  310.      if you want to make the tracing even harder, you should start the
  311.      decryption of the code from its END, so it takes the whole operation
  312.      until the opcode following the decryption routine is decrypted.
  313.  
  314.      Example:
  315.  
  316.      CS:0100 BB7109         MOV    BX,0971
  317.      CS:0103 BE1001         MOV    DI,0110
  318.      CS:0106 91             XCHG   AX,CX
  319.      CS:0107 91             XCHG   AX,CX
  320.      CS:0108 2E803597       XOR    Byte Ptr CS:[DI],97
  321.      CS:010C 47             INC    DI
  322.      CS:010D 4B             DEC    BX
  323.      CS:010E 75F6           JNZ    0106
  324.      CS:0110 07             POP    ES
  325.      CS:0111 07             POP    ES
  326.  
  327. 2.2. Self-modifying code:
  328.  
  329.    2.2.1. Simple self-modification:
  330.  
  331.             This method implements the same principle as the encryption
  332.           method: Change the opcode before using it. In the following example,
  333.           we change the insruction following the call, and therefore, if you
  334.           try to trace the entire call ('P'/Debug or F8/Turbo Debugger), you
  335.           will not succeed, since the debugger will put its CCh on offset 103h,
  336.           but when the routine runs, it overwrites location 103h.
  337.  
  338.           Example:
  339.  
  340.           CS:0100 E80400         CALL   0107
  341.           CS:0103 CD20           INT    20
  342.           CS:0105 CD21           INT    21
  343.           CS:0107 C7060301B44C   MOV    Word Ptr [0103],4CB4
  344.           CS:010D C3             RET
  345.  
  346.           Watch this:
  347.  
  348.           CS:0103 B44C           MOV    AH,4C
  349.  
  350.    2.2.2. The Running Line (self-decrypting):
  351.  
  352.             This is an example of a self-tracing self-modifying code,
  353.           sometimes called 'The running line'. It was presented by Serge
  354.           Pachkovsky. It is a bit tricky in implementation, but, unlike
  355.           all other techiniques mentioned in this document, it is relatively
  356.           resistive to various protections of the vector table. In short, it
  357.           results in instructions being decoded one at time, thus never
  358.           exposing long code fragments to analisys. I will illustrate it
  359.           with the following (over-simplified) code example:
  360.  
  361.           XOR     AX, AX
  362.           MOV     ES, AX
  363.           MOV     WORD PTR ES:[4*1+0],OFFSET TRACER
  364.           MOV     WORD PTR ES:[4*1+2],CS
  365.           MOV     BP, SP
  366.           PUSHF
  367.           XOR     BYTE PTR [BP-1], 1
  368.           POPF
  369.           MOV     AX, 4C00H               ; This will not be traced!
  370.           DB      3 DUP ( 98H )
  371.           DB      C5H, 21H
  372.  
  373.    TRACER:
  374.  
  375.           PUSH    BP
  376.           MOV     BP, SP
  377.           MOV     BP, WORD PTR [BP+2]
  378.           XOR     BYTE PTR CS:[BP-1], 8
  379.           XOR     BYTE PTR CS:[BP+0], 8
  380.           POP     BP
  381.           IRET
  382.  
  383. ===============================================================================
  384.  
  385. Comments:
  386.  
  387. In order to save lines of code, I did not insert the CLI/STI pair before any
  388. vector change. However, it is adviseable to do this pair before ANY manual
  389. vector change, because if any interrupt occurs in the middle of your
  390. operations, the machine could hang.
  391.  
  392. An apology:
  393.  
  394. In previous releases of this article, a false example, as noted by Serge
  395. Pachkovksy, was posted. That was 2.2.2 - Manipulating the PIQ. Apperantly
  396. the posted source would not work under any circumstances. In return, Serge has
  397. presented the 'Running Line' technique.
  398.  
  399. Thanks to:
  400.  
  401. Eden Shochat, 2:401/100
  402.   and
  403. Yossi Gottlieb, 2:401/100.3
  404.  
  405. for helping me assembling this list.
  406.  
  407. Other acknowledgements:
  408.  
  409. Matt Pritchard, 80XXX echo
  410.  
  411. Serge Pachkovsky, Distributed Node (2:5000/19.19)
  412.  
  413. ===============================================================================
  414.  
  415. Any comments, suggestions, ideas and corrections will be gladly accepted.
  416.  
  417. Author can be reached in one of the following ways:
  418.  
  419. Inbar Raz, 2:401/100.1                          {fidonet}
  420. Inbar Raz, 2:403/100.42                         {fidonet}
  421. nyvirus@weizmann.weizmann.ac.il                 {internet}
  422. uunet!m2xenix!puddle!2!403!100.42!Inbar.Raz     {UUCP}
  423. Inbar.Raz@p1.f100.n401.z2.fidonet.org           {internet<>FIDO gate}
  424. Inbar.Raz@p42.f100.n403.z2.fidonet.org          {internet<>FIDO gate}
  425.  
  426.  * DSE Online! * The Home of PB/VISION & PB/WORKSHOP for PowerBASIC 3.0
  427.                      
  428. -- 
  429. /\/  Daniel P. Stasinski      /\/    Voice: +1-707-459-4358  /\/
  430. /\/  DSE Software Publishing  /\/  FAX/BBS: +1-707-459-4484  /\/
  431. /\/  Post Office Box 96       /\/    Email: dse@pacific.net  /\/
  432. /\/  Willits, CA 95490-0096   /\/  FidoNet: 1:125/123        /\/
  433.  
  434.